En mars 2015, le directeur de la CIA, John Brennan, a annoncé la création d'une nouvelle direction de l'innovation numérique de la CIA, la première nouvelle direction de la CIA en cinq décennies. La nouvelle division a été créée afin de faire progresser les techniques de criminalistique numérique, un pilier de la science médico-légale liée aux activités d'enquête et de récupération des données et métadonnées (données sur les données) trouvées dans les appareils numériques, et d'améliorer la capacité de la CIA à retracer «Poussière numérique» laissée pour compte lors des cyberactivités de routine. Comme Brennan l'a expliqué le 28 avril dans un discours lors d'un dîner de leadership de l'Alliance du renseignement et de la sécurité nationale: «Partout où nous allons, tout ce que nous faisons, nous laissons de la poussière numérique, et il est vraiment difficile d'opérer clandestinement, et encore moins secrètement, quand vous» re laissant la poussière numérique dans votre sillage."
Le but principal de la criminalistique numérique est l'évaluation de l'état d'un artefact numérique qui pourrait potentiellement être utilisé dans toute enquête sur un système informatique. En utilisant les techniques de la criminalistique numérique, un enquêteur peut acquérir des preuves numériques, les analyser et rendre compte des résultats de cette analyse. Le développement d'outils médico-légaux numériques et d'autres techniques encore plus avancées devrait permettre aux gouvernements et aux entreprises privées d'étudier avec succès la poussière numérique laissée par ceux - suspect ou autre personne d'intérêt - liés à des cyberactivités présumées illégales.
Méthodologies.
Les méthodologies médico-légales numériques sont appliquées dans diverses situations, notamment par des membres des forces de l'ordre ou par d'autres autorités officielles pour collecter des preuves dans une affaire pénale ou civile ou par des entreprises privées pour aider à la poursuite d'une enquête interne. Le terme de criminalistique numérique est extrêmement général et peut être utilisé pour caractériser de nombreuses spécialisations, selon le domaine d'investigation particulier. Par exemple, la criminalistique du réseau est liée à l'analyse du trafic réseau informatique, tandis que la criminalistique des appareils mobiles est principalement concernée par la récupération des preuves numériques des smartphones et des tablettes. Il existe des méthodologies potentiellement infinies pour la criminalistique numérique, mais les techniques les plus couramment utilisées incluent la recherche de mots clés sur les supports numériques, la récupération de fichiers supprimés, l'analyse de l'espace non alloué et l'extraction des informations de registre (par exemple, en utilisant des périphériques USB connectés).
Lorsqu'il s'agit de preuves numériques, il est essentiel de s'assurer que l'intégrité et l'authenticité des données et des métadonnées ne sont pas affectées pendant les phases d'enquête. Ainsi, il est essentiel d'éviter toute altération des preuves résultant du travail des enquêteurs et de garantir que les données collectées sont «authentiques», c'est-à-dire identiques à tous égards aux informations d'origine. Bien que les combattants de la cybercriminalité dans les films et à la télévision puissent identifier intelligemment le mot de passe d'une personne d'intérêt, puis se connecter directement à l'ordinateur ou à un autre appareil intelligent de la cible, dans le monde réel, une telle action directe pourrait altérer l'original de manière à faire tout ce qui se trouve sur l'appareil inutilisable ou du moins inadmissible en justice.
La phase d'acquisition, également appelée «imagerie des objets exposés», consiste à obtenir une image du contenu de l'ordinateur ou d'un autre appareil. Le principal problème avec les médias numériques est qu'ils sont facilement modifiés; même la tentative d'accès aux fichiers ou au contenu de la mémoire d'un ordinateur peut modifier leur état. Il faut donc éviter un accès direct en créant une image exacte de la mémoire volatile et des disques du système analysé. Cela peut être obtenu en obtenant une «copie bit» (une reproduction bit par bit exacte) du support en utilisant des outils de blocage d'écriture spécialisés qui «reflètent» les données tout en empêchant toute modification du contenu original du support.
La croissance de la taille des supports de stockage et la diffusion de paradigmes tels que le cloud computing exigent l'adoption de nouvelles techniques d'acquisition qui permettent aux enquêteurs de prendre une copie «logique» des données plutôt qu'une image complète du périphérique de stockage physique. Dans un effort concentré pour assurer l'intégrité des données, les enquêteurs utilisent des mécanismes de «hachage» qui génèrent des valeurs plus courtes et de longueur fixe qui représentent l'original plus long ou plus complexe. Les valeurs hachées permettent des recherches plus rapides et permettent aux chercheurs d'évaluer à chaque instant la cohérence du contenu numérique étudié. Toute modification du contenu entraînerait une modification du hachage de l'artefact numérique, qui pourrait être facilement repéré sans qu'il soit nécessaire de rechercher dans la base de données entière.
![Histoire européenne de la bataille de Sluys [1340]](https://images.thetopknowledge.com/img/world-history/0/battle-sluys-european-history-1340.jpg "Histoire européenne de la bataille de Sluys [1340]")